zur Navigation springen

Zero-Day-Lücke in Java SE : Fehlerkorrektur bei Java nur fehlerhaft behoben

vom

Eine offiziell seit zwei Jahren geschlossene Sicherheitslücke lässt sich noch immer ausnutzen.

shz.de von
erstellt am 16.Mär.2016 | 06:00 Uhr

Java-Nutzer dürfte diese Neuigkeit wenig erfreuen: Eine über zwei Jahre alte Sicherheitslücke in Oracles Java Software Environment lässt sich immer noch ausnutzen. Dabei hatte das Unternehmen bereits im  September 2013 gemeldet, die Schwachstelle geschlossen zu haben. Der polnische Sicherheitsanbieter „Security Explorations“ hat dies nun offenbar widerlegt.

Der Patch (Fehlerkorrektur) soll leicht zu umgehen sein. Lediglich vier Zeichen des ursprünglichen Angriffscodes müssten dafür verändert  und ein präparierter Server verwendet werden, schreibt  der Chef des Sicherheitsanbieters Adam Gowdiak.

Die Lücke lässt sich somit potenziell seit rund 30 Monaten auf Millionen Geräten mit Java noch immer ausnutzen. Ein Update scheint bislang nicht in Sicht. Allerdings gibt es bisher auch keine öffentlichen Hinweise darauf, dass die Lücke bereits ausgenutzt wurde.

 Anders als von Oracle damals angenommen, haben die Experten ebenfalls bewiesen, dass sich die Lücke nicht nur in Java-Webstart-Anwendungen und Java-Applets ausnutzen lässt, sondern auch in Server-Umgebungen.

Auf Anfrage des Online-IT-Magazins „Golem“ wollte sich Oracle Deutschland nicht zu der Lücke äußern. Eine Pressesprecherin ließ einen möglichen Termin für einen Patch offen. Betroffen sind nach Angaben der Sicherheitsforscher die Versionen Java SE Update 97, Java SE 8 Update 74 und Java SE 9 Early Bird Access Build 108.

Java ist auf vielen Computern und Smartphones im Einsatz. Es handelt sich um eine standardisierte Software-Plattform, mit der Programme ausgeführt werden können, die in der Java-Programmiersprache entwickelt wurden.

In den vergangenen Jahren gab es immer wieder Sicherheitslücken in Java. Wie Oracle im Januar bekannt gab, wird es in naher Zukunft keine Java-Plugins für Browser mehr geben. Das Unternehmen reagiert damit auf Browserhersteller, die die veraltete Technologie künftig nicht mehr unterstützen wollen.

Für Java-Nutzer gilt bis dahin: Entweder auf Java-Plugins verzichten oder diese aktuell halten.

zur Startseite

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen